ueditor如何过滤脚本攻击

夏涌升 发布于 2014/07/31 14:07
阅读 3K+
收藏 0
提交后后端,像PHP获取到的是html代码,如何过滤?

这个是怎么做到的呢

我就试试
加载中
1
leo108
夏涌升
夏涌升
回复 @红薯 : http://www.oschina.net/p/html+purifier/news#list 不要欺负我读书少。。。
红薯
红薯
@夏涌升 不对啊,有更新啊,只是标题没写而已
红薯
红薯
回复 @夏涌升 : 作者没来发布更新新闻,没办法
夏涌升
夏涌升
@红薯 这个都4.6了,怎么osc上只显示更新到4.3
夏涌升
夏涌升
哇,这个靠谱。
0
傲罗
傲罗

过滤也无非是过滤掉特殊字符、转义,防止sql注入和xss跨站攻击

这个帖子可以参考下http://blog.csdn.net/skier/article/details/7682319

0
夏涌升
夏涌升

引用来自“傲罗”的评论

过滤也无非是过滤掉特殊字符、转义,防止sql注入和xss跨站攻击

这个帖子可以参考下http://blog.csdn.net/skier/article/details/7682319

我不知道这个和ci的xss_clean相比怎么样,xss_clean把很多无辜的内容都替换了。
另外,你说的文章的代码里:
$val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;   
      // @ @ 0{0,7} matches '0' zero to seven times    
      $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with





为什么不把&直接用html实体替换就可以了呢?是出于什么考虑呢?
0
Tuesday
Tuesday

网上有个项目的, 好几十k的代码, 来过滤.

并且要时刻更新..

0
夏涌升
夏涌升

引用来自“Tuesday”的评论

网上有个项目的, 好几十k的代码, 来过滤.

并且要时刻更新..

求项目地址
0
你来打我呀
你来打我呀
这个是应该好好考虑
0
BG5TWC
BG5TWC

htmLawed 一个基于文法分析的html过滤器,误判和漏判概率都非常低

夏涌升
夏涌升
这个的代码我看得很辛苦
0
大喵哥
大喵哥

ueditor设置开启过滤这个的功能 

然后后台正则表达去匹配?

0
1
1035758885
<a title="111" onclick="alert(1)">111" onclick="alert(1)</a>
返回顶部
顶部